אבטחה - באימות דו שלבי / דעתכם... 🪪💂🏻
-
זה פצצה האימות הזה. חייבים את זה. אבל יש גם מערכות קטנות שזה פחות חשוב.
הכי מושלם היה אם זה היה כמו בטלגרם - כל אחד יכול לבחור אם להפעיל במערכת שלו אימות דו שלבי, או לבטל
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מדובר פה פיתוח מטורף ודאגה לאכיפה של זה בכל הצורות, באתר, בAPI, ועוד הנושא עוד לא הסתיים. בקושי התחיל.
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ככלל, יישר כח לימות שכל הזמן מפתחים ומשפרים את השימוש במערכות שלהם!!
ותודה שהתחשבתם בכותבי האשכול הזה - ואפשרתם התחברות פעם ל30 יום!
זה בהחלט מראה על ההקשבה שלהם - גם מכותבי הפורום!! -
הצעה חשובה ביותר!!!
יש אפשרות לאפס מערכת בלחיצת כפתור אחת, דרך הגדרות קיימות בפורום,צריך לעשות, בעיקר על זה - אימות טלפוני רציני וקשיח,
זה נצרך פי כמה וכמה מאשר כניסה למערכות!!!
מה יועיל ומה יתן אם יש פורץ שיודע את הסיסמא - ורוצה להרוס מערכת,
הוא לא יטרח להכנס למערכות וימחוק את השלוחות,
הוא פשוט יאפס בלחיצת כפתור אחת!!
זה נצרך, וזה הכי קריטי!!!ואם גם אתם חושבים כך, לייקו ו/או כתבו כאן בשרשור, חשוב שיראו את הכמות! -
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מאחרי התאריך, הAPI לא ממש יעבוד בצורה הנוכחית, כי כן, יהיה צריך אימות דו-שלבי גם בו.
אז מה הבעיה?
-
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:הצעה חשובה ביותר!!!
יש אפשרות לאפס מערכת בלחיצת כפתור אחת, דרך הגדרות קיימות בפורום,
צריך לעשות, בעיקר על זה - אימות טלפוני רציני וקשיח,
זה נצרך פי כמה וכמה מאשר כניסה למערכות!!!
מה יועיל ומה יתן אם יש פורץ שיודע את הסיסמא - ורוצה להרוס מערכת,
הוא לא יטרח להכנס למערכות וימחוק את השלוחות,
הוא פשוט יאפס בלחיצת כפתור אחת!!
זה נצרך, וזה הכי קריטי!!!@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:מאחרי התאריך, הAPI לא ממש יעבוד בצורה הנוכחית, כי כן, יהיה צריך אימות דו-שלבי גם בו.
-
@פלוס כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ותודה שהתחשבתם בכותבי האשכול הזה - ואפשרתם התחברות פעם ל30 יום!
זה היה מתוכנן לפני שביקשו, אבל שמח שזה לשביעות רצונכם.
️@גלאט-מערכות כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:@שמואל מה עושים עם כל המערכות בריסיילרים ולא מוגדרים מספר בעל מערכת?
ברמת האפשרות, ניתן להגדיר לפי ריסיילר מיילים/טלפונים/ שיופיעו במנוע האימות בכל התחברות של כל הלקוחות שלו, או שיופיעו כאשר הריסיילר מתחבר רק עם סיסמת מאסטר בלבד, או אפילו כתובות IP לבנות (ברמת התחברות בלבד, זה לא עדיין יהיה צורך ב״אימות קשיח״ כדי להוסיף אמצעי אימות חדשים).
טלפונים/מיילים יאפשר לריסיילר לבצע את האימות הראשוני בהתחברות של הלקוחות שלו - ואז שהם יגדירו אמצעי אימות משלהם.@שמואל-ש כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:אז מה הבעיה?
יש בעיה.. כי מי שמשתמש עם API על שרת - הוא יפסיק לעבוד. כי יהיה חייב אימות דו-שלבי. האפשרות היחידה להשתמש עם הapi ״המסורתי״ אחרי תאריך האכיפה - יהיה לעשות אימות דו שלבי עם ״זכור אותי״, וזה יפתח את הip לחודש. אבל עדיין...
מי שמשתמש עם api באתרים שהוא בנה, אז בעז״ה שיעלה התיעוד של הMFA - יהיו צריכים להתאים את עצמם.ברמת הapi אני אכתוב בזהירות, שלא יביאו אליי אחרי זה ״אמרת״, אבל זה הכיוון של מה שהולך להיות:
- חיסול האפשרות להתחבר ולבצע פעולות כאשר מספר המערכת והסיסמה נמצאים בצורה ישירה בבקשה. (token=077:1111). אני יודע שזה יהיה קשה להרבה לקוחות, אבל לצערי האפשרות הזו לא תקינה מלכתכילה, ועם כל הכאב, זה לא יתאפשר יותר.
- יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי. רשימת ip לבנה ברמת הפיתוח זה בוצע, אבל צריך עוד לאפשר את זה באתר להגדיר את זה ולסגור פינות.
- יהיה אפשרות ליצור API_KEY קבוע, שזה קצת לא רוצה לומר דברים שלא קיימים, אבל בעזרת השם נעשה את זה בצורה טובה, שתאפשר גמישות ונוחות.
טל״ח...
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יש בעיה.. כי מי שמשתמש עם API הוא יפסיק לעבוד. האפשרות היחידה להשתמש עם הapi ״המסורתי״ אחרי תאריך האכיפה - יהיה לעשות אימות דו שלבי עם ״זכור אותי״, וזה יפתח את הip לחודש.
כתבתי את זה ל @פלוס שכתב שחייבים כזה דבר אז ציטטתי לו שכתבת שאכן הולך להיות אימות דו שלבי
-
@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה בעזרת השם אפשרות באתר להגדיר כתובות IP שלא יצטרכו לבצע אימות דו-שלבי. ואז הם יוכלו לבצע Login - לקבל טוקן - ולרוץ איתו. גם באתר הניהול הם יהיו פטורים מאימות דו-שלבי.
למשל - התקנתי מייל לטלפון, שזה סקריפט בתוך קובץ גוגל שיטס, שנמצא בדרייב שלי,
והייתי צריך להריץ טוקן, ועשיתי זאת בחדר מחשבים.
עכשיו איזה ip המחשב זוכר,
כלומר, האם זה ימשיך להריץ את הסקריפט, גם כשהמחשב בחדר מחשבים אינו מחובר כבר?
והאם אצטרך פעם בחודש להריץ את הסקריפט שוב? -
@חכמון השאלה שלך חסרה מאד, כי ניכרת פה קצת חוסר הבנה.
אני גם לא יודע מה בדיוק גוגל סקריפט וכו.צריך להבין איך הדברים עובדים ואז תוכל לענות לבד. או שתסביר יותר.
גוגל זה משהוא שרץ במחשב שלך? לא נראה לי.
אתה יצרת שם טוקן? לא נראה לי. השתמש עם מערכת:סיסמה.ודו״ק
-
@שמואל הייתי צריך להכניס שם טוקן login,
ואחרי שהכנסתי את הערך - הסקריפט ממשיך לרוץ,
אז זה נשמר בדרייב שלי?
זה צילום מהטוקן שם:
-
@שמואל אני גם רואה שתיקנו את הבאג שאי אפשר ללחוץ אנטר אחרי שמקישים את הקוד,
אלא חייבים לזוז עם העכבר ל"אמת את הקוד".
עכשיו כבר אפשר. -
@חכמון כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:ואחרי שהכנסתי את הערך - הסקריפט ממשיך לרוץ,
אז זה נשמר בדרייב שלי?זה נשמר בדרייב, והריצה מתבצעת משרתי גוגל סקריפט, ולהם יש ה-מ-ו-ן כתובות IP, יהיה קצת קשה לסדר את זה,
אולי זה יעזור:@שמואל כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:יהיה אפשרות ליצור API_KEY קבוע
לי יש הרבה סקריפטים שרצים בגוגל סקריפט, אני מקווה שלא ייהרסו לי המערכות... -
@שמואל
א. ישנם בעלי מערכות שאינם מתכנתים בעצמם, אך הקימו בעבר מערכת מורכבת מאוד שמבוססת כולה על API ע"י מתכנת מקצועי בתשלום נכבד,והם לא משתמשים "חינמיים", אלא הם משלמים זה שנים על הקו שלהם ל'ימות', הן בהחזקת הקו / והן ברכישה קבועה של יחידות לשיגור הודעות / וכיום גם על הסרת פרסומות.
וכעת קשה להם מבחינה תקציבית לשלם למתכנת מדי תקופה, בכדי להתאים את המערכות שלהם לכל מיני שינויים שמבוצעים במערכות אצלכם, מעת לעת.
-
ולגביהם לא יעזור מה שאתם בודאי תטרחו ליידע את המשתמשים (המתכנתים), כיצד יש לבצע את ההתאמות מבחינה טכנית, - כיון שעדיין המתכנת יבקש מהם תשלום על העבודה / וגם לא תמיד למתכנת יש זמן פנוי. - ולמעשה זה מצב לא נעים שיש להם באגים במערכת מדי תקופה.
-
השאלה היא, מדוע שלא יהיה אפשרי, למי שמעוניין בכך, להגדיר באתר שאינו מעוניין באימות החדש, ושהאימות החדש לא ישפיע במערכת שלו כלל על כל הפקודות שנשלחות ב API ??
הרי הנהלת ימות המשיח לא צריכה לחשוש לביטחון המערכת הפרטית של הלקוח, יותר ממה שהלקוח בעצמו חושש.
[כל הנ"ל נכתב גם לגבי שאר חידושים עתידיים שתרצו לעשות, שכדאי לתת את הדעת על כך, שישנם לקוחות שזה פוגע להם בכיס, כיון שהם צריכים לשלם למתכנת בכל פעם בכדי להתאים את השינויים].
ב. ואם כבר הגענו לנושא של אבטחת המידע במערכות, אז יש נושא קריטי לא פחות, והוא: הפסקת פעילות ה FTP
כי מצד אחד לא אכפת לנו שחסמתם את האפשרות הזו, מחמת החשש המובן שיש לכם שמא יעברו עם החומר לחברות מתחרות,
- אך מצד שני, כיון שכל הזמן אנחנו משנים ומשדרגים את המערכות לפי הצורך, אנו חייבים שתהיה לנו אפשרות ליצור נקודות שיחזור פנימיות, למקרה של תקלה חמורה, או למקרה שנרצה לבטל את השינויים שנעשו בתקופה האחרונה.
וזה דבר שעלול לקרות הרבה הרבה יותר, מאשר פריצה של מישהו שיעלה על הקוד, - [ובנוסף, אם תהיה נקודת שיחזור יוכלו להתגבר בקלות על הנזקים של הפריצה, ולהחליף את הסיסמא].
והרי כל מי שכותב מסמך בקובץ WORD פשוט, יש לו אפשרות ליצור כמה גירסאות של הקובץ, ואילו במערכת שלכם עם אלפי הגדרות למיניהם אין את האפשרות הזו,
[ואם זה קשה לכם כיון שזה מכפיל את נפח האיחסון של המערכות בשרתים שלכם, אז לפחות תתנו את האפשרות הזו רק לבעלי המערכות שמשלמים לכם תשלום חודשי על החזקת המערכת]
וכמובן שלא באתי בכל הנ"ל חלילה להקניט מישהו, - אלא באתי רק להסב את תשומת ליבכם לנקודת המבט של הלקוחות, שברור לנו שחשוב לכם לשמוע את דעתנו.
ואחתום בתודה על כל השידרוגים והחידושים שאתם נותנים למשתמשים כל הזמן ללא עלות.
כתיבה וחתימה טובה!!! -
-
@שמואל עשיתי אצלי אימות דו שלבי ונכתב לי למעלה
אך כשנכנסתי למערכת בפעם הבאה קיבלתי שוב
יש לי כבר שיטות אימות
מה זה?
-
@זאביק כתב באבטחה - באימות דו שלבי / דעתכם... 🪪
:השאלה היא, מדוע שלא יהיה אפשרי, למי שמעוניין בכך, להגדיר באתר שאינו מעוניין באימות החדש, ושהאימות החדש לא ישפיע במערכת שלו כלל על כל הפקודות שנשלחות ב API ??
סתם מוסיף פה גם על מה שכתבת וגם באופן כללי - דוגמא לבעיה בכל מערכת ולא רק מערכות בפעילות:
לפני תקופה ארוכה, נשלחו אלפי סמסים של 'פישינג' ממערכת של עמותה מאד גדולה שטיפלתי בקו שלהם.
מערכות הספאם באפליקציות לא חסמו את זה כל כך מהר כי זה מספר מאד מאד מוכר וזה היה נזק אדיר!
לקח כמה שעות עד שהטלפונים התחילו להגיע לעמותה ואז פנו אלי... (התברר שהסיסמה הייתה שמורה אצל עובד אחר והוא השתמש עם תוסף לשמירת סיסמאות מאד פופולארי והתברר שפרצו לחברה של התוסף).הפורץ רכש יחידות ישירות בתוך המערכת באלפי שקלים(!!) - ולכן לא משנה העובדה שזה מערכת בשימוש או לא, מערכת שאפשר דרכה לבצע פעולות רגישות כמו הוצאת שיחות ושליחת סמסים - מחייבת אמצעי זהירות שימנע אותם.
ואגב, זה סטנדרטי לגמרי לחייב אימות דו שלבי.
-----
תכל'ס אני מבין אותך לגמרי שזה כאב ראש מטורף, אני גם סובל עכשיו מהבעיה שצריך להעלות מהאוב כמויות של מערכות ולוודא איפה יש API ואיפה אין.. אבל זה המחיר של אי סדר אישי שלי (ושל כל אחד אחר)
.
